サイレント Microsoft ログイン詐欺を回避する – 自分自身を特定して保護する方法

2025 年 12 月 2 日午後 3 時東部標準時間公開

タシュリーフ氏がコンシューマ テクノロジーに興味を持つようになったのは、学校の図書館でテクノロジー雑誌 CHIP に出会ったことがきっかけで、最終的にコンピューター サイエンスの学位取得を目指すきっかけになりました。 2012 年以来、Tashreef は 1000 を超えるハウツー記事を専門的に執筆し、Windows Report や How-To Geek に貢献してきました。 彼は現在、2007 年から使用している MakeUseOf で Microsoft Windows コンテンツに重点を置いています。

Web サイトやテクノロジー ブログを構築した実践経験を持つ彼は、開発者の実践的な洞察をテクニカル ライティングに取り入れています。彼の完全な作品ポートフォリオは itashreef.com でご覧いただけます。

また、複雑なトピックを簡素化した、彼の短いハウツー ビデオの説明に遭遇するかもしれません。タシュリーフは執筆以外にも、短い説明ビデオの作成、ゲーム、アニメーション番組の探索を楽しんでいます。

見慣れたロゴ、レイアウト、URL を備えた本物のように見える Microsoft メールをクリックした結果、アカウントの資格情報が失われることを想像してみてください。脅威アクターが誤植を悪用してユーザーを騙し、ログイン情報を引き渡すようになっているため、フィッシングメールはますます巧妙になっています。

この形式の攻撃はタイポスクワッティングと呼ばれ、一見巧妙です。一見すると、送信者のアドレスは正当なもののように見えます。電子メールのデザインは、Microsoft に期待されるものと一致しています。メール内のリンクも正しいようです。しかし、よく見てみると、何かがおかしいことに気づくでしょう。たった 1 文字でアカウントがハッキングされるのに十分です。

タイポスクワッティングの概要とその仕組み

私たちの読み方を利用した視覚的なトリック

クレジット:Tashreef Shareef / MakeUseOf

この例では、攻撃者は rnicrosoft.com のようなドメインを登録し、そこから Microsoft の公式サポートであるかのように電子メールを送信しました。一見すると、特に携帯電話では、脳は「r-nicrosoft」ではなく、microsoft.com として認識するかもしれません。これは古典的なタイポスクワッティング (別名 URL ハイジャック) の実際の動作です。

タイポスクワッティングでは、人気のある Web サイトとほぼ同じに見える偽のドメインを作成します。攻撃者は、スペルミス、文字の入れ替え、異なるトップレベル ドメイン (.com ではなく .co)、または変更されたサブドメインを使用して、人々の不意を突きます。

目的は、ユーザーをだましてリンクをクリックさせたり、類似ドメインに誘導する URL を入力させたりすることです。そこに到達すると、被害者は多くの場合、ブランドとデザインが一致するクローン Web サイトに遭遇します。ログインしたり、支払いの詳細を入力したり、ファイルをダウンロードしたりして、攻撃者に必要なものを提供します。

タイポスクワッティングが機能するのは、私たちの脳が各文字を個別に読むのではなく、馴染みのある単語をパターンとして処理するためです。 「microsoft」を何百回も見ると、脳は各文字を確認するのではなく、形状を認識し始めます。詐欺師は、「m」に「rn」、「w」に「vv」、「l」に「1」など、似たような文字を使用してこれを悪用します。

クレジット:Tashreef Shareef / MakeUseOf

モバイルデバイスでは問題はさらに悪化します。画面が小さく、デフォルトのフォントがあり、スクロールが速いため、これらの微妙な違いはほとんど見えなくなります。昼食中に携帯電話でメールをチェックしていると、Microsoft と思われるメッセージが表示され、何も考えずにタップしてしまいました。

タイポスクワッティングが非常に効果的なのは、フィッシングメールでの使用です。詐欺師は、入力ミスのドメインを登録し、適切な電子メール認証 (SPF、DKIM、DMARC) を設定し、完全に正当に見えるメッセージを送信する可能性があります。電子メールはスパム フィルターを通過し、受信トレイに到達し、クリックされるのを待ちます。

ブラウザや電子メール フィルタがこれらを常に検出しない理由

正当に見えるドメインが自動チェックをすり抜ける

クレジット:Tashreef Shareef / MakeUseOf

電子メール プロバイダーやブラウザーは、明らかな偽 URL やスペルミスの URL を検出すると思うかもしれませんが、実際に検出されることがよくあります。 Edge と Chrome では、URL のタイプミスも検出できます。残念ながら、タイポスクワッティングは、これらの自動化システムが見逃しているギャップを悪用します。

タイポスクワッティングされたドメインは、多くの場合、有効な SSL 証明書と無害に見えるコンテンツを使用して適切に登録されています。電子メール ゲートウェイはスパム パターンと既知の悪質な送信者に重点を置いていますが、適切な認証を備えた正しく設定されたタイプミス ドメインからの電子メールは、統計的に正規のトラフィックと同様に見える可能性があります。フィルタがブランドの類似性を具体的にチェックするか、類似ドメイン用に調整された機械学習を使用しない限り、メッセージに不審なフラグを付けることはありません。

ブラウザ保護にも同様の制限があります。新しいタイプミス ドメインは常に出現しており、新しいインフラストラクチャに切り替える前に短期間しか使用されない場合があります。ブロックリストとタイプミス防止機能は、少量の標的型攻撃に遅れをとったり、完全に見逃したりする可能性があります。ドメインにフラグが立てられるまでに、被害はすでに発生していることがよくあります。

タイポスクワッティングから守るのは簡単ですが、その方法を知っている場合に限ります。

安全を守る簡単な習慣とツール

Google、Microsoft、Amazon などの大手テクノロジー企業は、タイポスクワッティングと積極的に闘い、日常的によくあるスペルミスのある自社ドメインのバージョンを購入し、公式サイトにリダイレクトしています。たとえば、「google.com」と入力すると、 (余分な「o」が付きます) ")、正しい URL Google.com にリダイレクトされます。これにより、詐欺師がよくあるタイプミスを登録するのを防ぎます。ただし、考えられるすべてのバリエーションを購入できるわけではないため、引き続き警戒する必要があります。

最も簡単な防御策は、クリックする前に一時停止することです。クリックする前に、メール内のリンクにカーソルを置くと実際の URL が表示されます。特にモバイルでは、画面が小さいため微妙な違いを見つけるのが難しく、アドレス バーを注意深く確認してください。フォントが間違っている、要素が欠落している、または見た目が正しくないなど、ログイン ページに何か違和感がある場合は、タブを閉じて、URL を自分で入力するかブックマークを使用してサイトに直接移動してください。

ここでは、パスワード マネージャーが組み込みの保護を提供します。パスワード マネージャーがログイン ページに自動入力しない場合は、そのドメインが通常使用しているドメインではないことを示しています。パスワード マネージャーは、見た目ではなく正確なドメインをチェックするため、タイポスクワッティングされたサイトでは自動入力がトリガーされません。

保護をさらに強化するには、パスワードの代わりにパスキーに切り替えることを検討してください。パスキーは特定のドメインに関連付けられており、類似サイトでは機能しないため、設計上フィッシング耐性があります。パスキーをサポートするアカウントにはハードウェア セキュリティ キーを使用することもできます。これらの物理デバイスは認証前にウェブサイトの信頼性を検証するため、タイポスクワッティング攻撃は基本的に役に立たなくなります。

電子メールのリンクには常に懐疑的である

タイポスクワッティングが機能するのは、私たちの脳が馴染みのある情報を処理する方法を利用しているためです。私たちは実際にそこにあるものではなく、見られると期待しているものを見ます。詐欺師はこれを利用して、クイック 一目テストに合格するドメインとメールを作成します。

ただし、このトリックがどのように機能するかを理解すると、微妙な文字の入れ替えにもっと簡単に気づくようになります。特にログイン ページや金融取引の場合は、送信者のアドレスと URL を確認するのにさらに 1 秒かかります。頻繁にアクセスするサイトのブックマークを使用し、パスワード マネージャーにドメインの検証を行わせます。この短い一時停止により、ほぼ正しい、しかし完全ではないように見えるドメインを登録した誰かに認証情報を渡さずに済む可能性があります。